制作证书链并进行验证

最新推荐文章于 2025-10-02 04:21:51 发布
原创 最新推荐文章于 2025-10-02 04:21:51 发布 · 971 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #https #服务器

本文详细介绍了如何生成自签名的根证书、中间证书以及叶子证书,并通过openssl工具进行证书链验证,确保服务器HTTPS安全通信。

生成自签名的根证书:

openssl req -x509 -newkey rsa -outform PEM -out tls-rootca.pem -keyform PEM -keyout tls-rootca.key.pem -days 35600 -nodes -subj “/C=cn/O=mycomp/OU=mygroup/CN=rootca”

生成中间证书

1.生成csr和key文件

openssl req -newkey rsa:2048 -outform PEM -out tls-intermca.csr -keyform PEM -keyout tls-intermca.key.pem -nodes -extensions v3_ca -config /etc/ssl/openssl.cnf -subj “/C=cn/O=mycomp/OU=mygroup/CN=intermca”

2.用rootCA对intermca进行签发

openssl x509 -req -days 365 -in tls-intermca.csr -out tls-intermca.pem -CA tls-rootca.pem -CAkey tls-rootca.key.pem -CAcreateserial -extensions v3_ca -extfile /etc/ssl/openssl.cnf

生成叶子证书:

1.生成csr和key文件

openssl req -newkey rsa:2048 -outform PEM -out tls-cert.csr -keyform PEM -keyout tls-cert.key.pem -nodes -reqexts SAN -extensions v3_req -config <(cat /etc/ssl/openssl.cnf <(printf “\n[SAN]\nsubjectAltName=DNS:server.mycomp.com, DNS:localhost, DNS:127.0.0.1”)) -subj “/C=cn/O=mycomp/OU=mygroup/CN=server”

2.用intermca对cert进行签发

openssl x509 -req -days 365 -in tls-cert.csr -out tls-cert.pem -CA tls-intermca.pem -CAkey tls-intermca.key.pem -CAcreateserial -extensions SAN -extfile <(cat /etc/ssl/openssl.cnf <(printf “\n[SAN]\nsubjectAltName=DNS:server.mycomp.com, DNS:localhost, DNS:127.0.0.1”))

查看证书:

openssl x509 -in xxx.pem -text -noout

失效中间层证书与根证书验证

~/cert/second-out$ openssl verify -partial_chain -CAfile tls-rootca.pem -untrusted tls-rootca.pem tls-intermca-1.pem
tls-intermca-1.pem: OK

~/cert/second-out$ openssl verify -partial_chain -CAfile tls-rootca.pem -untrusted tls-rootca.pem tls-intermca.pem
tls-intermca.pem: OK

~/cert/second-out$ openssl verify -partial_chain -CAfile tls-rootca.pem -untrusted tls-rootca.pem tls-intermca-out.pem
tls-intermca-out.pem: C = cn, O = mycomp, OU = mygroup, CN = intermca
error 10 at 0 depth lookup:certificate has expired
OK

失效中间层证书与叶子证书

~/cert/second-out$ openssl verify -partial_chain -CAfile tls-intermca-1.pem -untrusted tls-intermca.pem tls-cert.pem
tls-cert.pem: OK

cl@LJY:~/cert/second-out$ openssl verify -partial_chain -CAfile tls-intermca.pem -untrusted tls-intermca.pem tls-cert.pem
tls-cert.pem: OK

~/cert/second-out$ openssl verify -partial_chain -CAfile tls-intermca-out.pem -untrusted tls-intermca.pem tls-cert.pem
tls-cert.pem: C = cn, O = mycomp, OU = mygroup, CN = intermca
error 10 at 1 depth lookup:certificate has expired
OK

使用OpenSSL创建多级CA证书链签发证书导出为pkcs12/p12/pfx文件
Laurence的技术博客
03-21 9269
文章目录1. 生成根CA证书自签2. 生成二级CA证书使用CA证书签发3. 生成服务器证书使用二级CA证书签发4. 制作CA证书链5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书自签 生成二级CA证书使用CA证书签发 生成服务器证书使用二级CA证书签发 制作CA证书链 打包为p12文件 1. 生成根CA证书自签 # 创建root-ca自签名 openssl req -x509 -newkey
openssl 制作SM2多级证书链
kuying0518的博客
05-27 4669
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
openssl 根据证书生成p7b证书链
iChenfy的专栏
12-02 5761
第一步 第二步 总结 我们项目中有时可能因为需要因此要校验持有证书是否是合法证书,因此需要校验当前证书的证书链;但是,可能有时由于其它原因没有证书链,下面介绍说明如何根据证书链的证书生成p7b证书链;首先,假设我们有一级证书 root01.cer、二级证书root02.cer 及需要校验的证书 user.cer第一步:如果制作证书链我们需要将der编码证书转换为pem,我们可以利用openssl指令
openSSL 生成证书 (三级_证书链) linux
AAugust的博客
10-22 4556
生成思路: 1.创建CA私钥 (ROOT根证书) 2.生成CA证书请求 3.CA私钥自签名CA证书导出根证书.cer 4.创建中间证书 私钥 5.生成中间证书请求 6.CA私钥签名导出 中间证书.cer 7.创建 用户证书私钥 8.生成用户证书请求 9.中间证书私钥签名导出 用户证书.p12 (包含公钥证书+用户证书私钥) 最终得到: 根证书.cer , 中间证书...
3分钟搞懂证书链:从浏览器警告到中间证书的构建与验证
最新发布
gitblog_00776的博客
10-02 811
当你访问网站时遇到"证书不受信任"的警告,90%是证书链Certificate Chain)配置错误导致。本文将通过OpenSSL实战案例,详解中间证书(Intermediate Certificate)在构建可信证书链中的核心作用,以及如何通过3个关键步骤完成验证。 ## 一、证书链:为什么需要中间证书? SSL/TLS证书采用层级信任模型,从根证书(Root Certificate)到终...
KeyTool生成证书链及在java、c#中的运用
flyinmind的专栏
09-14 4271
SSL中用到证书,那么证书是什么?证书可以理解为一个包含了签发方信息、拥有者信息、公钥、由签发方私钥产生的签名等信息的文档,当然还包括其他一些信息。校验用户证书是否可信,实际上就是检验该证书是否由合法的机构签发的。校验时,通过该证书中的结构信息找到对应机构的证书,利用机构证书中的公钥去校验用户证书中的签名是否正确。从上述校验方法可以看出,证书是否可信,是由其签发方证书来校验的,而机构的证书是否可信,是由上一层机构的证书来校验的,如此就形成一条证书链,最顶层机构的证书的就是常说的根证书。
openssl 生成自签名证书以及CA证书链
jxhaha的博客
06-18 2485
这里涉及到一个server.ext,这是为了适应现代浏览器SSL证书标准。和root.ext类似,需要手动创建,内容如下。这里涉及到一个ca_intermediate.ext,和root.ext类似,需要手动创建,内容如下。执行命令后,会提示你输入一些内容,请按照提示输入,每一项输入的内容需要自己记住。中间证书的制作过程与根证书类似,这里直接将命令贴上。中间证书的制作过程与根证书类似,这里直接将命令贴上。进一步输入一下命令进行验证。结果中必须包含如下类容。执行结果应该和下面一致。输出结果应该如下所示。
TLS证书链部署详解:从Let‘s Encrypt到自签证书的完整指南
Clownseven的博客
06-17 898
网站提示证书不可信?可能是TLS证书链配置错误!Hostol详解根证书、中间证书,提供Let's Encrypt、自签证书的完整部署与监控策略。
证书链-Digital Certificates
lihei12345的专栏
05-06 6616
基础知识 证书 CA 证书 CA Signing Verification 证书链 实例 证书链 CA组织 end-user certificates intermediates certificates root certificates 其他基础知识在介绍证书链之前,需要首先了解一下非对称加密以及电子证书相关的基础概念。关于这部分,我也一直有些困惑,直到看了阮一峰老师的博客,才对证书有个比
openssl 生成证书链
raptor-minds
05-29 1870
基于ubuntu 18.04 版本 ##生成 root CA 证书 检查openSSL Version openssl version OpenSSL 1.1.1 11 Sep 2018 create directory mkdir -p /opt/ca/root mkdir /opt/ca/root/key vim /opt/ca/root/openssl.cnf [ ca ] default_ca = CA_default [ CA_default ] dir = /
02-HTTPS证书生成、验签 、证书链
River的博客
11-11 2288
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
验证证书链验证证书链
01-22
验证证书链 检查证书是不是在证书链内的证书下发的。
证书链
weixin_34396103的博客
09-05 2492
    浏览器报错的证书链的问题,我们一般会有三种证书: RootCA.crt(rCA,被信任的根证书)、IntermediateCA.crt(mCA,某些厂商有多个中间证书)、server.crt(sCA,通过CSR签下来的证书),某些厂商的rCA和mCA是需要用户自己下载的。为了让浏览器能够信任我们的证书,我们需要配置一条完整的证书链证书链由sCA和mCA构成就好,rCA是浏览器内置,不需要...
HTTPS证书生成、验签-、证书链
weixin_45653328的博客111
10-21 1694
证书的,然后 “GlobalSign Root CA” 证书信任 “GlobalSign Organization Validation CA - SHA256 - G2” 证书,而 “GlobalSign Organization Validation CA - SHA256 - G2” 证书又信任。如果你的电脑中毒了,被恶意导入了中间人的根证书,那么在验证中间人的证书的时候,由于你操作系统信任了中间人的根证书,那么等同于中间人的证书是合法的。,后面我们可以用这个根证书去颁发服务器证书和客户端证书。
利用OpenSSL 自签CA证书制作链式SSL证书
baidu_34881991的博客
03-31 2818
自签链式证书中间证书步骤
使用openssl创建自签名的证书链
qq_40593293的博客
02-11 2597
第一步:生成自签名的根证书 $ openssl req -x509 \ -newkey rsa \ -outform PEM -out tls-rootca.pem \ -keyform PEM -keyout tls-rootca.key.pem \ -days 35600 \ -nodes \ -subj "/C=cn/O=mycomp/OU=mygroup/CN=rootca" 结果是生成根证书文件:tls-rootca.pem和tls...
ssl证书链验证的其它方式
TCP/IP
04-01 7901
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0 2
怎么通过 java 生成 pfx 格式的证书链
Java的专栏
06-28 624
要在 Java 中生成一个包含证书链的 PFX 文件(也称为 PKCS#12 文件),你可以使用keytool工具,它是 JDK 自带的一个密钥和证书管理工具。此外,你也可以通过编程方式使用 Java 的KeyStoreAPI 来完成这一任务。
用java原生jdk的keytool生成,私钥和证书链
goodlook0123的专栏
07-19 2833
在今天做电子签章的时候,发现需秘钥和证书链,固使用免费jdk的keytool生成。 操作如下截图: 在jdk的bin目录下,执行如截图命令: 其中产生警告,直接忽略。产生“houKeyStore”的文件,即可使用。 参考资料:https://blog.youkuaiyun.com/kmyhy/article/details/6431609...
PFX证书制作工具的功能与应用指南
它结合了公钥、私钥以及可能相关的证书链,从而可以安全地分发密钥对给其他用户或系统。 2. PFX证书的构成: PFX文件通常包含以下元素: - 公钥:用于加密数据,以保证只有持有对应私钥的人才能解密。 - 私钥:...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值